我国个人金融数据监管困境及其突破

摘 要：随着金融领域大数据技术的广泛应用，金融行业产生与处理着大量的个人数据。因此，重视个人信息保护和信息安全、尊重和保护金融消费者的权益已成为金融监管的共识。我国的个人金融数据监管目前处于金融市场监管和个人信息保护的交叉领域。但我国传统监管模式存在明显的时滞性、数据孤岛桎梏着监管能力的提升、监管机构与金融机构之间存在信息盲区、金融监管部门存在科技短板等问题。为突破我国个人金融数据监管困境，应创新监管模式、推动数据开放和共享、把规制型监管向服务型监管转型、革新监管技术与监管方式。

关键词：个人金融数据；金融监管；监管机构；监管模式

中图分类号：D912.29;D922.28;F832.1 文献标识码：Ａ 文章编号：１００９ — ２２３４（２０24）04 — ０115 — ０6

一、引言

随着个人金融数据价值的提升和信息技术的演进与发展，近几年来，中国人民银行开具的行政处罚罚单涉事案由中，与“个人金融信息”相关的违法违规行为已经超过了百例，处罚对象涵盖了银行、证券公司、消费金融公司和支付机构等。因此，个人金融数据安全形势愈发严峻。银保监会于2022年8月下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，要求各地银保监局深入整治侵害消费者信息权益的乱象，并在自查的基础上对银行保险机构进行监管抽查，进一步完善银行和保险机构的相关工作机制。此外，《银行保险机构消费者权益保护管理办法》于2023年3月1日正式实施，明确了在对客户数据进行处理过程中，必须遵循“合法、正当、必要和诚信”的原则，以达到保障客户金融数据的安全性的最终目的。随着金融机构积累的个人金融数据规模急剧扩张，传统金融监管模式面临困境。如何提升监管机构对个人金融数据监管的能力，已成为当下学术界和产业界都亟待解决的问题。

二、个人金融数据保护的迫切性：以河北省刘某非法获取公民个人信息案为例

公安部于2023年3月15日公布了8起侵犯个人信息①犯罪的典型案例，其中侵犯金融消费者信息安全权的案件尤其值得关注。在河北公安机关破获的一起非法获取公民个人信息案②中，犯罪嫌疑人刘某（某金融公司负责人）为开展贷款业务，非法在银行、保险公司等机构内部人员处购买大量有贷款需求人员的个人金融数据，事后组织员工将大量公民个人信息转卖，非法获利630余万元。

固然，金融机构应高度重视金融消费者金融信息保护，严格执行《中华人民共和国消费者权益保护法》和《银行保险机构消费者权益保护管理办法》等有关规定，紧密结合前、中、后台不同部门和不同条线的特点，进一步梳理、完善本行内部规章制度，教育、引导、督促员工切实落实相关法律法规及规章制度①，增强员工个人金融信息保护意识。

但是，金融监管者更应承担起监管职责并有效发挥监管作用。习近平总书记指出，规范数字经济发展，需要“实现事前事中事后全链条全领域监管”。［1］因此，完善我国个人金融数据监管路径迫在眉睫。为此目的，我们有必要首先梳理我国个人金融数据监管现状及其困境。

三、我国个人金融数据监管现状及监管困境

（一）我国个人金融数据的监管现状

根据国务院关于提请审议国务院机构改革方案的议案，将组建国家金融监督管理总局（以下简称“国家金融监管总局”），同时不再保留中国银行保险监督管理委员会（即“银保监会”）。此举将“一委一行两会一局”转变为“一委一行一总局一会一局”，即，国务院金融稳定发展委员会、中国人民银行、国家金融监管总局、证监会、外汇管理局，形成中央统筹、央地双层协调的金融监管格局，呈现出具有中国特色的“双峰监管”模式。改革后，金融监管体系强化宏观审慎监管和系统性金融风险防范，集中微观金融监管资源，实现金融业务监管全覆盖，融合了基于实体、功能和行为等监管理念，有助于避免监管真空、监管不足和监管重叠，比改革前的“一行两会”监管格局更能适应混业经营现实，其中中央金融稳定发展委员会的设立有助于从纵向和横向上分别统筹促进央地之间以及不同监管机构之间的监管协调。［2］尽管如此，具体到个人金融数据监管，依然存在一些监管困境。

（二）我国个人金融数据监管困境分析

其一，传统监管模式存在显著的时滞性。［3］由于金融市场具有高度动态性、易变性和自我调整性的特点，故而预先设定的规则无法适应社会发展的速度。我国目前采取的仍然是“命令－控制”型的监管模式。［4］主要以统计报表和现场检查等方式，以事后发现、事后惩戒为主。监管机构无法实时动态进行数据分析，只能依赖金融机构报送监管数据和合规报告，有关风险的识别严重滞后。不仅起不到规制作用，甚至会抑制金融创新，贻误金融风险的治理时机②。另一方面，互联网技术的集约性使其发展速度相对较快，但现行的监管模式也因其存在滞后性而无法适应目前的互联网金融现状。例如，在大数据、云计算等技术领域，尚未建立与之相配套的监管体系，个人金融数据泄漏的现象屡见不鲜。在2022年，包括银保监会、人民银行和国家外汇管理局在内的各银行业监管机构，向银行和从业人员发出了5555份罚单③。其中共计149张罚单与消费者信息保护有关，此类罚单在消保领域所占比例高达72%。尤其引发关注的是，在个人信息保护领域首次出现了两张千万级罚单，较2021年整体罚没金额增长超过20%。由此可见，这种监管模式存在明显的时滞性，监管机构不能及时有效地对违规行为进行处置，而对违规行为进行有效的前瞻预防、识别、预警等方面也存在诸多不足。这严重影响到对金融风险的全方位穿透与监督，也制约了对金融风险的有效识别与控制。

其二，数据孤岛现象桎梏监管能力的提升。第一，目前我们国家所采用的“竖井式”监管数据结构，这种监管报送方式具有单向性和强制性的显著特点。监管机构在与被监管对象以及其他有关主体之间的关系中处于强势地位，而金融机构处于被动监管的处境。这会导致二者之间缺乏一种平等的常态化交流机制。随着5G的落地，万物互联时代开启，数据资源的价值将被进一步挖掘。金融科技的发展深刻依赖于数据资源，但当前全网海量数据的分布仍具高度分散性，政府和公共服务机构、金融机构、数字科技企业等分别掌握一部分数据，打破全网数据孤岛和价值沉睡成为金融科技行业发展的必然要求。④第二，在通常情况下，金融机构都会严格控制对外用户数据共享，致使各个平台无法实现对用户全面而又精准地画像。例如，个股除了需要常规的价格等信息之外，还需要从外部来获取信息，诸如法院、征信部门、工商部门和网络负面舆情等。再通过知识图谱分析法，分析数据之间的关联情况。然而，由于“数据孤岛”现象的存在，使得对个人金融数据监管更加困难，这也成为目前迫切需要解决的问题。

其三，监管机构与被监管机构之间存在信息盲区。在数字金融背景下我国个人金融数据随着技术的发展呈现出了动态性的特点，监管机构与被监管机构之间出现信息不对称的现象。例如，具有“去中心化”特征的比特币利用密码学进行安全设计，它不只交易是自治的，发行也是自治的。作为一个组织，其是完全的社群自治，不需要领导者居中协调，不受中央发行机构控制，这使得监管部门难以对其有效监管。再如，随着互联网金融业务的多元化发展和金融产品类型的增加，给以往的监管政策带来很大挑战。特别是在网络借贷领域，监管机构与被监管机构存在信息差。即使互联网金融协会已经成立但相应的法规、行业规范等制度尚不完善，进一步加大互联网金融监管的难度。［5］在传统金融机构以外的数据公司和金融科技公司，它们往往会利用非法数据爬虫等手段收集和使用大量的个人金融数据，在不具备合法性的情况下帮助金融机构实现贷款风控或者债务催收等目的。由此，金融数据控制者从传统金融持牌机构演变到脱胎于互联网企业的新型持牌金融机构甚至非金融机构，造成负面社会后果①。

其四，金融监管部门存在科技短板。在金融交易日趋复杂化的背景下，金融科技平台企业纷纷加大对用户数据收集、挖掘与分析的力度或者利用各种零散的个人信息对完整的用户信息进行拼凑以获得更大的商业利益。尽管如此，目前我国金融监管部门的科技水平仍远滞后于金融机构对金融科技的运用水平。

四、国外个人金融数据监管借鉴

（一）欧盟：全方位多层次的监管体系

欧盟提供一套以欧盟规则为范本的全方位、多层次的数据监管规则体系。2018年5月25日，GDPR（《通用数据保护条例》）正式生效，在欧盟成员国创设了相同水准的数据保护标准，被称为史上最严格、保护水平更高的数据保护规则。这不仅是欧盟长此以往坚持个人数据隐私保护的优良传统，更是欧盟立法者在数字经济背景下应对新技术不断涌现而进行的一次前瞻性思考与战略探索。GDPR对数据监管机构的机构设置、职责范围、法律适用范围、权利类型和严格问责数据控制者和处理者等方面都提出明确要求。［6］在机构设置方面，明确规定主导监管机构应该与其他监管机构利用一致性机制进行相互合作、相互协助、共享信息，并在适当的时机开展联合行动；在监管机构的职责范围方面，规定监管机构享有调查权、矫正权、授权和建议权；在法律的适用范围方面，GDPR保留了“属地”因素的基础之上还增加了“属人”因素；在权利内容和类型方面，增加被遗忘权和数据可携带权，并延伸了知情权和访问权的范围；在责任和义务方面，GDPR在法律上对其进行了严格的限制，直接将数据处理者纳入规范的范畴之中。GDPR确立了个人数据保护权，强化了个人对其数据的控制权，加重了数据控制者及处理者义务和责任，完善跨境数据传输机制，进一步强化了监管机构的独立地位及权力，创立了欧盟数据保护理事会，构建了三个不同层次的数据保护机构体系，为数据主体提供了更广泛的行政及司法救济权，并赋予监管机构明确的处罚权限。②GDPR尽量平衡并兼顾了数据主体的权利与其他合法权益，为全球范围内提供了一套以欧盟规则为样板的数据治理规则体系，让欧盟在全球范围内成为数字经济秩序的领跑者。［7］

（二）英国：边发展边规范的创新金融监管体系

“边发展边规范”是英国金融数据监管的显著特点。欧洲国家之所以高度重视个人信息安全保护，主要是遭受了惨痛的历史教训。［8］英国在创新监管方面所采取的举措有两方面。

其一，实施监管机构改革。由“一元综合监管”转变为“二元双峰监管”：将英国金融服务监管局（FSA）拆分为实行“二元双峰监管”的审慎监管局（PRA）与金融行为监管局（FCA）。FSA侧重于实施宏观审慎监管职能，其法定目标是制定规则，广泛调查和权力执法。FCA则侧重对具体金融活动进行监管，其目标在于通过采用类似的新技术，帮助新兴的金融科技行业突破传统金融监管的桎梏和网络安全的威胁，这也标志着监管科技时代的到来。

其二，实施监管沙箱政策。“监管沙箱”是实验性监管模式的典型例证，该沙箱能够为金融科技公司提供一个有效的模拟环境。在确保消费者利益得到保障的前提之下，监管者对入围沙箱测试的企业实施“松绑”，这表明“先发展后规范”的发展思路被“边发展边规范”所取代。为鼓励金融创新、防范和控制金融风险，“监管沙箱”将风险控制与发展高度结合起来以形成长效的监管机制。其主要目的是畅通监管机构与被监管机构之间的沟通交流渠道，提早介入金融科技信息的全流程并予以政策辅导。监管机构亦逐渐意识到，在科技日新月异的时代应秉持多元化与开放的监管态度。“监管沙箱”政策的实施，为监管主体对金融创新放松监管提供了法定依据，有利于监管机构合理权衡各利益相关者之间的利益关系。总体而言，有助于金融创新的集群发展。

（三）美国：金融隐私权的功能性监管模式

其一，设立功能性的金融数据监管岗位。2013年，美联储为实现对金融数据监管、第三方的信息利用以及金融业务的合规监管，设置了专门的首席数据官及数据官办公室。［9］这类专门岗位的设立，促使美联储数据治理更加清晰且合规。不仅实现了金融数据的治理目标，而且能够在专人指导下有效落实相关流程，较好地控制金融机构正当使用用户信息。此后，花旗集团、摩根士丹利等美国金融机构效仿美联储陆续设立类似机构，以强化本行数据管理与治理实效。

其二，规定金融机构的披露义务。美国在保护金融消费者的个人金融数据权益方面，针对金融机构的披露义务、金融机构对第三方的隐私披露、金融机构向第三方披露非公开个人信息的限制以及对于某些信息的重新披露和重复使用的限制和消费者选择退出的方式①等做出了明确的规定。［10］除非满足以下四种情形，否则严禁金融机构向第三方关联机构披露金融消费者的非公开个人信息。这四种情形包括：提供初始通知、提供选择退出通知、向第三方披露信息前给消费者合理选择和消费者自行选择不退出。此外，金融机构使用金融消费者信息受到披露范围、披露对象等层面的限制，只能对自己的附属机构或是在规定范围内的关联公司披露信息。

其三，实施功能性、多层次监管布局。在功能定位和部门设置的角度解读美联储的职责，其主要负责监管银行、证券公司、保险公司和金融控股公司等各类机构以及金融基础设施。其内部新设的消费者金融保护局（CFPB），相对独立地行使消费者权益保护职责。而美联储与联邦存款保险公司负责共同处置发生的系统性风险，并将对冲基金、私募基金和场外衍生品纳入监管范围。美国为实现功能性、多层次的监管布局，不仅设立了证监会、消费者金融保护局、联邦保险办公室和货币监理署等政府监管机构，还有区块链技术国际联盟R3CEV等自律组织。［11］

其四，具有完备且灵活的法律监管体系。1934年美国联邦《证券交易法》规定，任何上市企业或须向证券监管机构提出申报的公司，都必须建立和维护一个内部会计监控系统，以保证一切交易、接触和取用资产都必须得到管理层的一般或特别授权。1978年《金融隐私权法》规定，在联邦机构获得金融机构消费者的授权、行政和司法传票或者搜查令的前提之下，金融机构才能向联邦机构提供消费者的金融数据。1999年《金融服务现代化法》规定，在未得到有关各方同意的情况下，诸如银行等金融机构不得将其客户未公开的私人识别信息共享给无隶属关系的第三方。在数据合规层面影响力比较大的有《2018年加州消费者隐私法案》（以下简称CCPA）和《2020年加利福利亚州隐私权法案》（CPRA）。CCPA要求告知数据主体何时以及如何使用其个人数据，且消费者有权在其个人信息修改时应与企业沟通更正或删除。②

五、我国个人金融数据监管困境的突破

（一）创新监管模式

其一，采取实验性监管模式。实验性监管模式，即监管机构制定一项新的监管政策之前，首先要在一个受控的环境里激励金融创新，通过观察、试错和交流的实验方式实现监管机构与金融机构之间平等高效的信息交流渠道。随后监管机构通过主动与受监管者进行接触和沟通，改变以往监管的被动性和应对性。使其能够更加全面地理解和掌握创新的本质、收益及风险。提前采取预警措施降低金融创新风险，主动地实施监管对策防范监管套利，最终制定出符合事物发展规律、科学有效的监管政策。［12］

其二，完善功能监管。近年来，我国在保持现有的分业监管制度的基础上，引入了“功能监管”的理念，这一理念释放出“金融大监管布局”的讯号。一方面强调了金融监管权力的有效整合和内部的数据互通，另一方面也给监管数据安全保障义务的划分和责任人的识别，以及后续的问责机制的落实带来了新的挑战。针对非金融机构所从事的创新金融活动，原有监管模式缺乏监管能力且存在着较大的缺陷，而功能性监管则能很大程度上弥补此弊端。［13］同时值得注意的是，银行业的标准和监管预期除了适应新的创新，同时应当保持适当的审慎标准。［14］

其三，兼用行业自律的管理模式。作为一种有效的市场治理手段，行业自律在约束市场主体不良行为、维护市场正常运营秩序上有着自身独有的调控空间，被视为一种补充政府监管的治理路径。随着互联网金融、大数据金融的迅猛发展，强调政府适度监管下的自律管理成为新形势下金融信息保护的必然选择。

（二）推动金融数据开放和共享

其一，监管机构应牵头建立金融数据共享平台。比如在金融业综合统计的框架下，国家金融监管总局构建长效的数据共享机制，高效共享银行及证券与保险公司的运行数据，提高了对交叉性金融活动、系统重要性金融机构和金融控股公司等关键领域的统计监测能力；同时，金融监管部门积极构建与公安、海关、工商、社保、税务等主管部门的数据共享通道，形成金融机构与各领域实现数据共享高速路，有效提升了风控、反欺诈等各领域的技术保障能力。为实现监管协作和有选择的数据共享，应当鼓励多个监管主体之间构建协同监管机制包括金融监管部门之间的协同，以及与其他领域的协同；引导金融科技企业逐渐开放数据源，利用信用信息服务平台和数据交易流通来打破数据垄断和数据壁垒；作为企业数据资产、数据服务的重要提供者，数据中台的概念得到了业内的广泛关注。数据中台可以简单地理解为数据服务工厂，在数据获取阶段，数据中台可以打破数据孤岛，全面、实时、高质量地采集不同来源和类型的海量数据。①

其二，数智化助力央地监管协同。国家“互联网+监管”系统是国家政务服务平台在推行“互联网+政务服务”后的另一项重大工程。该项工程基于阿里云构建基础设施，构建大数据平台、实现跨部门数据共享和综合利用，具有风险预警、监管效能评估、信用评估等能力，对金融业构建全方位监管体系具有借鉴意义。以广东省为例，该省是全国最早一批设立省级地方金融工作部门的省，积极落实防范系统性风险的要求，着力构建央地协同的多层次监管框架体系，包括制度体系和组织职责的协同，以及专项工作和专班的协同，其中智能化的防控体系发挥了基础支撑作用。比如建设金融风险防控平台，实现主动发现—精准预警—深度分析—协同处置—持续监测的全链条防控机制和闭环管理，“做到有风险早发现，发现风险及时提示和处置。”②

其三，利用监管沙盒在市场中嵌入政府监管，使监管者和创新者之间实现“结构化”和“透明化”。起源于英国的“监管沙盒”制度，为我国在金融科技迅猛发展的大背景下改变金融监管的执法模式，提供全新的思路和方向。［15］“监管沙盒”是国家为被选中的互联网市场主体提供的一个模拟真实市场的“缩小版”试验地。在“沙盒中”，政府通过适当放松的监管方式，促进被选中的金融科技企业大胆创新。实时掌握并跟踪记录了大量的互联网金融市场数据和金融消费者的真实消费体验。入选的互联网金融市场主体将会以这些数据为基础，不断完善和改进自身金融创新的方式，并保障最终投入市场的效果。

（三）由规制型监管转向服务型监管

由于互联网金融的发展受到信息不对称的制约，以及传统信息监管手段仍存在的“瓶颈”。因此，监管机构应当将其功能由“监护”向“服务”转换，并充分尊重市场机制在其中的作用。由于金融机构规模大、经营范围广，必然交叉不同种类的金融数据。［16］故将互联网金融监管者的角色由风险管制者转变为信息服务者，它不仅要求从监管的角度来保证互联网金融市场主体的信息充分流动；更要以信息服务者的身份为各市场主体提供量多质优的市场信息，组织、协调和监督多边主体，并协同解决市场信息不对称问题。同时，应积极推进金融监管机构与传统金融消费者权益保障机构之间的联动：金融监管机构负责监管金融领域的数据安全；传统金融消费者权益保障机构则负责识别和惩戒侵犯消费者数据权益的行为。为了建立良好的金融市场秩序、保障金融稳定与可持续发展，这不仅要求监管机构在充分了解大数据、人工智能等金融创新业态的基础上，对金融市场参与主体进行有效监管，更需要各类被监管主体能够积极主动配合监管，以提高监管有效性。［17］

（四）革新监管思维与监管方式

其一，在监管领域运用监管科技和大数据技术。监管机构首先应自觉树立技术驱动型的监管思维，将管理和技术手段结合，保护用户个人金融数据。针对云计算、大数据等新技术新业务带来的个人信息保护挑战，必须与时俱进。进一步加强大数据环境下网络安全防护技术建设，做好大数据平台的可靠性及安全性评测、应用安全评测、监测预警和风险评估。其次应当以行业内现有成熟的大数据技术和云计算技术为基础，将人工智能、区块链技术和云计算运用到个人金融数据监管和合规管理等领域，以构建具有实时性、动态性和技术化特点的监管系统。这不仅能大幅提升个人金融数据风险识别的实时性和精确性，而且可以实现对个人金融数据在整个生命周期中的全流程监管。

其二，提升数字化监管与合规能力，实现智能高效监管。［18］一方面逐步完善数字化监管协议，运用智能监管系统，构建监管大数据平台，提升监管数据报送的数智化水平。在具体的监管方案与工具上，可寻求与金融科技领域内监管科技公司的监管合作，根据监管当局迫切要解决的问题采购其监管技术或监管指标测度方案，使行业内数字化工具为监管所用。

其三，采取科学监管与人力监管协同运作的方式。在金融实践的风险处置阶段中，从业人员的经验判断无法取代，人为的介入更是必不可少。加强监管人员的信息科技知识培训，合理提高金融科技人员占比，对金融科技人员进入监管领域建立准入标准，培养科技与金融的复合型专业人才。［19］

〔参 考 文 献〕

［1］习近平.不断做强做优做大我国数字经济［J］.求是，2022（02）：57.

［2］黄靖雯，陶士贵.数智化阶段的金融科技：风险与监管［J］.兰州学刊，2023（04）：1-21.

［3］张永亮.金融监管科技之法制化路径［J］.法商研究，2019（03）：127-139.

［4］孙远钊.美国与欧盟对数据保护的梳理与参考［J］.政法论丛，2021（04）：98-113.

［5］Chunxi Zhou，Wenyu Zhu.Researchon Financial Supervision Issues Relatedtothe Ant Financial Event［J］.Academic Journalof Business & Management，2022，4（15）.

［6］京东法律研究院．欧盟数据宪章：《一般数据保护条例》GDPＲ评述及实务指引［M］.北京：法律出版社，2018：2.

［7］陈振云.我国金融数据治理法律构建的三个维度［J］.贵州大学学报（社会科学版），2022（05）：80-92.

［8］尼古拉·杰因茨.金融隐私一征信制度国际比较［M］.万存知，译，北京：中国金融出版社，2009.

［9］张凯.金融数据治理的突出困境与创新策略［J］.西南金融，2021（09）：15-27.

［10］刘友华，任祖梁.消费者权益保护视域下金融APP数据处理的规制研究［J］.消费经济，2022，38（01）：19-30.

［11］张凯.金融科技：风险衍生、监管挑战与治理路径［J］.西南金融，2021（03）：39-51.

［12］胡玲，马忠法.论我国企业数据合规体系的构建及其法律障碍［J］.科技与法律，2023（02）：42-51.

［13］廖凡.论金融科技的包容审慎监管［J］.中外法学，2019（03）：20.

［14］Sound Practices： Implicationsof Fintech Dev-elopmentsfor Banksand Bank Supervisors［R］.Basel Committeeon Banking Supervision，2017.

［15］刘辉.论互联网金融政府规制的两难困境及其破解进路［J］.法商研究，2018，35（05）：58-69.

［16］Wei Zhang.Researchonthe Supervisionof Sys-

temically Important Financial Institutionsin China［J］.Management，2023，6（02）.

［17］何亮亮，王鑫田.数字化时代金融科技监管困境与完善路径［J］.南京邮电大学学报（社会科学版），2021（06）：33-44.

［18］黄靖雯，陶士贵.数智化阶段的金融科技：风险与监管［J］.兰州学刊，2023（04）：1-21.

［19］吴江羽.金融科技背景下金融数据监管法律框架构建［J］.西南金融，2020（11）：76-85.

〔责任编辑：包 阔〕